5
IIS - 502 - Sites Problematik
Hallo zusammen,
ich hoffe es geht gut.
Ich habe hier ein für meine Begriffe ungewöhnliches Problem.
Ich fasse kurz den IST-Zustand zusammen.
Es gibt einen IIS auf einem Exchange.
Dort ist OWA eingerichtet und klappt auch. (webmail.domain.org)
Ebenfalls ist dort als Site Nextcloud hinterlegt und verlinkt (nextcloud.domain.org).
Funktioniert ebenfalls
Diese Nextcloud ist "leider" ein Docker und ein überbleibsel eines ehemaligen MA und ohne Dokumentation oder ähnlichem. Diese Nextcloud instanz ist sehr alt und lässt sich nicht mehr updaten. Da die Daten und Benutzer aber über eine AD kommen können diese ja recht einfach umgezogen werden.
Daher habe ich ein neue Nextcloud auf einer Ubuntu VM hochgezogen.
Soweit so gut. Funktioniert auch alles ohne Probleme
Diese soll nun unter nextcloud2.domain.org erreichbar sein, sowohl Intern als auch extern, wie es eben bei nextcloud.domain.org der fall ist.
Der Gedanke dahinter ist einfach, dass wir nicht alle User aus der aktuellen Nextcloud ausloggen wollen sondern einen langsamen Umzug vollziehen können, da wir viele Nutzer haben die die Nextcloud von unterwegs nutzen (Tablets) und daher selten im Haus sind.
Nun habe ich als im IIS die neue Site Netxcloud2 hinzugefügt und die Bindung mit dem SSL Zertifikat des Servers gemacht:
Sowohl für HTTP als auch für HTTPS Port 80/443 und IP-Adresse ist "*" da dies über den DC bzw. DNS-Manager geregelt wird.
Habe die Einstellungen dort genauso gemacht wie für nextcloud.domain.org
Undzwar wie folgt:
domain.local
nextcloud.domain.org (CNAME) -> mailserver.domain.local
nextcloud2.domain.org (CNAME) -> mailserver.domain.local
domain.org
mailserver.domain.local (CANME) -> IP-Adresse
Dann habe ich noch unter c:\inetpub\wwwroot\nextcloud die Datei web.config in den Ordner ..\nextcloud2 kopiert und angepasst, wobei hier nur der name des Redirect angepasst wurde, eben auf nextcloud2.domain.org
Sobald ich dan die URL aufrufe bekomme ich einen Fehler:
Die Log Dateien vom ISS ergeben für mich leider keinen Sinn bzw. helfen mir nicht weiter:
192.x.x.102 = IP mailserver.domain.org
192.x.x.134 = IP des Clientrechners der die Anfrage gestellt hat
Ich bin nicht ganz sicher woher der Fehler jetzt kommt.
Ich hatte den Verdacht, dass es daran liegt, dass in der Config der nextcloud2 der Verkeher permanent über https geleitet wird, da aber keine Zertifikat hinterlegt ist, beim IIS aber schon, er deswegen meckert.
Bei nextcloud ist aber auch kein Zertifikat hinterlegt (das sehe ich ja wenn ich die IP direkt öffne und dort wird http auch direkt auf https umgeleitet)
Öffne ich also nextcloud2.domain.org direkt über die https://192.x.x.122 lässt sich diese öffnen, zwar mit Zertifikatswarnung aber es geht.
Öffnen ich https://nextcloud2.domain.org bekomme ich ich den 502 Fehler aber das Zertifikat, welches ja dann vom ISS kommt, passt.
Ich weiss gerade nicht weiter, vielleicht kann mir ja jemand einen Tipp geben was ich noch machen muss.
Vielen Dank !
ich hoffe es geht gut.
Ich habe hier ein für meine Begriffe ungewöhnliches Problem.
Ich fasse kurz den IST-Zustand zusammen.
Es gibt einen IIS auf einem Exchange.
Dort ist OWA eingerichtet und klappt auch. (webmail.domain.org)
Ebenfalls ist dort als Site Nextcloud hinterlegt und verlinkt (nextcloud.domain.org).
Funktioniert ebenfalls
Diese Nextcloud ist "leider" ein Docker und ein überbleibsel eines ehemaligen MA und ohne Dokumentation oder ähnlichem. Diese Nextcloud instanz ist sehr alt und lässt sich nicht mehr updaten. Da die Daten und Benutzer aber über eine AD kommen können diese ja recht einfach umgezogen werden.
Daher habe ich ein neue Nextcloud auf einer Ubuntu VM hochgezogen.
Soweit so gut. Funktioniert auch alles ohne Probleme
Diese soll nun unter nextcloud2.domain.org erreichbar sein, sowohl Intern als auch extern, wie es eben bei nextcloud.domain.org der fall ist.
Der Gedanke dahinter ist einfach, dass wir nicht alle User aus der aktuellen Nextcloud ausloggen wollen sondern einen langsamen Umzug vollziehen können, da wir viele Nutzer haben die die Nextcloud von unterwegs nutzen (Tablets) und daher selten im Haus sind.
Nun habe ich als im IIS die neue Site Netxcloud2 hinzugefügt und die Bindung mit dem SSL Zertifikat des Servers gemacht:
Sowohl für HTTP als auch für HTTPS Port 80/443 und IP-Adresse ist "*" da dies über den DC bzw. DNS-Manager geregelt wird.
Habe die Einstellungen dort genauso gemacht wie für nextcloud.domain.org
Undzwar wie folgt:
domain.local
nextcloud.domain.org (CNAME) -> mailserver.domain.local
nextcloud2.domain.org (CNAME) -> mailserver.domain.local
domain.org
mailserver.domain.local (CANME) -> IP-Adresse
Dann habe ich noch unter c:\inetpub\wwwroot\nextcloud die Datei web.config in den Ordner ..\nextcloud2 kopiert und angepasst, wobei hier nur der name des Redirect angepasst wurde, eben auf nextcloud2.domain.org
Sobald ich dan die URL aufrufe bekomme ich einen Fehler:
502 - Webserver hat als Gateway oder Proxyserver eine ungültige Antwort erhalten.
Problem mit der gesuchten Seite. Sie kann nicht angezeigt werden. Beim Kontaktieren des Upstream-Inhaltsservers hat der Webserver (als Gateway oder Proxy) eine ungültige Antwort vom Inhaltsserver erhalten.Die Log Dateien vom ISS ergeben für mich leider keinen Sinn bzw. helfen mir nicht weiter:
#Software: Microsoft Internet Information Services 10.0
#Version: 1.0
#Date: 2024-02-07 07:59:11
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2024-02-07 07:59:11 192.x.x.102 GET / X-ARR-CACHE-HIT=0&X-ARR-LOG-ID=58ffb937-35ad-4ff5-a56a-e129455b16be 443 - 192.x.x.134 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/121.0.0.0+Safari/537.36 - 502 3 12175 272
2024-02-07 07:59:11 192.x.x.102 GET /favicon.ico X-ARR-CACHE-HIT=0&X-ARR-LOG-ID=8ec0b417-beda-4a99-9af7-3a94c1d5f30d 443 - 192.x.x.134 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/121.0.0.0+Safari/537.36 https://nextcloud2.domain.org/ 502 3 12175 6192.x.x.102 = IP mailserver.domain.org
192.x.x.134 = IP des Clientrechners der die Anfrage gestellt hat
Ich bin nicht ganz sicher woher der Fehler jetzt kommt.
Ich hatte den Verdacht, dass es daran liegt, dass in der Config der nextcloud2 der Verkeher permanent über https geleitet wird, da aber keine Zertifikat hinterlegt ist, beim IIS aber schon, er deswegen meckert.
Bei nextcloud ist aber auch kein Zertifikat hinterlegt (das sehe ich ja wenn ich die IP direkt öffne und dort wird http auch direkt auf https umgeleitet)
Öffne ich also nextcloud2.domain.org direkt über die https://192.x.x.122 lässt sich diese öffnen, zwar mit Zertifikatswarnung aber es geht.
Öffnen ich https://nextcloud2.domain.org bekomme ich ich den 502 Fehler aber das Zertifikat, welches ja dann vom ISS kommt, passt.
Ich weiss gerade nicht weiter, vielleicht kann mir ja jemand einen Tipp geben was ich noch machen muss.
Vielen Dank !
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33843287619
Url: https://administrator.de/contentid/33843287619
Printed on: April 27, 2024 at 14:04 o'clock
5 Comments
Latest comment
Hallo TheCrey,
Zertifikatproblem? Was steht denn in dem zugewiesenen Zertifikat bei den SAN Namen alles drin?
Stehen in der Ereignisanzeige/Log des Win-Servers wo der IIS läuft mehr Details, scheint ein 502.3 Fehler zu sein?
Der 502 ist vom IIS nicht vom Nextcolud2 Webserver?
Sicherheitshalber mal ein nslookup und ein traceroute auf die IP und dann auf den Name durchführen und schauen ob es auch beim namen intern bleibt oder das DNS nicht greift und er beim namen extern über den provider geht, was ja für intern nicht sein soll. Der externe Weg ist ja hier jetzt erstmal uninteressant.
Zertifikatproblem? Was steht denn in dem zugewiesenen Zertifikat bei den SAN Namen alles drin?
Stehen in der Ereignisanzeige/Log des Win-Servers wo der IIS läuft mehr Details, scheint ein 502.3 Fehler zu sein?
Der 502 ist vom IIS nicht vom Nextcolud2 Webserver?
Sicherheitshalber mal ein nslookup und ein traceroute auf die IP und dann auf den Name durchführen und schauen ob es auch beim namen intern bleibt oder das DNS nicht greift und er beim namen extern über den provider geht, was ja für intern nicht sein soll. Der externe Weg ist ja hier jetzt erstmal uninteressant.
Hi,
danke für die Antwort.
Bezüglich deiner SAN Frage ist das glaube ich nicht das thema, da dass Zertifikat auf "*.domain.org" läuft. dementsprechend ist bzw. sollte ja nextcloud2.domain.org ja dabei sein.
In der Ereignisanziege unter Lokal -> Serverrollen -> Webserver (IIS) stehen "nur" Warnungen
z.b.
Warnung
Information
Warnung
Nslookup sie wie folgt aus, meiner Meinung nach auch korrekt:
Ich denke dass der Fehler vom IIS kommt und nicht Nextcloud, warum kann ich aber ehrlicherweise nicht sagen aber wenn ich ja die NC direkt öffnen geht es ja
danke für die Antwort.
Bezüglich deiner SAN Frage ist das glaube ich nicht das thema, da dass Zertifikat auf "*.domain.org" läuft. dementsprechend ist bzw. sollte ja nextcloud2.domain.org ja dabei sein.
In der Ereignisanziege unter Lokal -> Serverrollen -> Webserver (IIS) stehen "nur" Warnungen
z.b.
Warnung
Fehler im Anwendungshost-Hilfsdienst beim Löschen des Verlaufsverzeichnisses "C:\inetpub\history\CFGHISTORY_0000000128". Das Verzeichnis wird übersprungen und ignoriert. Beachten Sie, dass das Verzeichnis möglicherweise bei einem zukünftigen Neustart des Diensts gelöscht wird. Das Datenfeld enthält die Fehlernummer. Information
Ein Arbeitsprozess mit der Prozess-ID "14540" für den Anwendungspool "Nextcloud2" wurde aufgrund von Inaktivität heruntergefahren. Das Timeout für den Anwendungspool wurde auf 20 Minuten festgelegt. Bei Bedarf wird ein neuer Arbeitsprozess gestartet. Warnung
Fehler im Anwendungshost-Hilfsdienst beim Löschen des Verlaufsverzeichnisses "C:\inetpub\history\CFGHISTORY_0000000124\schema". Das Verzeichnis wird übersprungen und ignoriert. Beachten Sie, dass das Verzeichnis möglicherweise bei einem zukünftigen Neustart des Diensts gelöscht wird. Das Datenfeld enthält die Fehlernummer. Nslookup sie wie folgt aus, meiner Meinung nach auch korrekt:
C:\Users\user>nslookup nextcloud2.domain.org
Server: dc.domain.local
Address: 192.x.x.1
Name: mailserver.domain.local
Address: 192.x.x.102
Aliases: nextcloud2.domain.orgIch denke dass der Fehler vom IIS kommt und nicht Nextcloud, warum kann ich aber ehrlicherweise nicht sagen aber wenn ich ja die NC direkt öffnen geht es ja
Moin,
Gruß,
Dani
Diese Nextcloud ist "leider" ein Docker und ein überbleibsel eines ehemaligen MA und ohne Dokumentation oder ähnlichem. Diese Nextcloud instanz ist sehr alt und lässt sich nicht mehr updaten.
Interessanter Sachverhalt. Welches OS, Docker Version und Container Tag von Nextcloud kommt zum Einsatz?Daher habe ich ein neue Nextcloud auf einer Ubuntu VM hochgezogen.
Hört der Webserver (welcher auch immer) und Nextcloud auf den FQDN nextcloud2.domain.org?Bezüglich deiner SAN Frage ist das glaube ich nicht das thema, da dass Zertifikat auf "*.domain.org" läuft. dementsprechend ist bzw. sollte ja nextcloud2.domain.org ja dabei sein.
Glauben kannst du am Sonntag in der Kirche. In der IT zählen nur Fakten.Öffne ich also nextcloud2.domain.org direkt über die https://192.x.x.122 lässt sich diese öffnen, zwar mit Zertifikatswarnung aber es geht.
Wenn du den FQDN nextcloud2.domain.org direkt auf die IP-Adresse des Ubuntu Servers VM änderst, funktioniert die Nextcloud wie sie soll? Unabhängig davon spiele dort ebenfalls das korrekte Zertifikat ein. Sicherheit beginnt auch bei einer gültigen, validen Zertifikatskette.Nun habe ich als im IIS die neue Site Netxcloud2 hinzugefügt und die Bindung mit dem SSL Zertifikat des Servers gemacht
Was sucht ein Services wie Nextcloud im LAN? Sowas gehört abgeschirmt in die DMZ. Schlimm genug, dass der Exchange Server bzw. IIS wohl direkt aus dem Internet erreichbar ist.Gruß,
Dani
Hi,
danke für die Antwort.
Bin leider in den Themen nicht so fit, versuche mal die infos zu geben, und das dies nicht optimal ist, weiß ich aber eins nach dem anderem..
Docker version 20.10.17, build 100c701
renne ich ständig in Fehler und bekomme ich es nicht zum laufen.
z.b. Nextcloud need to be rebuild, follow these 5 Steps welche allerdings für mich nicht ganz klar sind.
Gerne kann ich die aber Posten, sollte jemand ne idee haben wie ich das auch direkt updaten kann.
Müsste dann aber von V24 auf V25 und dann V26 gehen etc.
Dürfte dann aber ja immer das gleiche Prinzip sein.
Sowohl bei der apache2 config als auch bei der trusted domains der nextcloud-config ist nextcloud2.domain.org eingetragen
War die Frage darauf bezogen ?
Ist aber ein Thema das umgesetzt werden muss ist mir durchaus bewusst.
Danke
danke für die Antwort.
Bin leider in den Themen nicht so fit, versuche mal die infos zu geben, und das dies nicht optimal ist, weiß ich aber eins nach dem anderem..
Interessanter Sachverhalt. Welches OS, Docker Version und Container Tag von Nextcloud kommt zum Einsatz?
Ubuntu 22.04.3 LTSDocker version 20.10.17, build 100c701
Container Tag von Nextcloud
Hier wird es spannend weil in der docker-composer-yaml ist keine Tag angegeben, wenn ich einen angebeimage: "nextcloud:25.0.18" z.b. Nextcloud need to be rebuild, follow these 5 Steps welche allerdings für mich nicht ganz klar sind.
Gerne kann ich die aber Posten, sollte jemand ne idee haben wie ich das auch direkt updaten kann.
Müsste dann aber von V24 auf V25 und dann V26 gehen etc.
Dürfte dann aber ja immer das gleiche Prinzip sein.
Hört der Webserver (welcher auch immer) und Nextcloud auf den FQDN nextcloud2.domain.org?
Hier muss ich nachfragen wie das gemeint ist?Sowohl bei der apache2 config als auch bei der trusted domains der nextcloud-config ist nextcloud2.domain.org eingetragen
War die Frage darauf bezogen ?
Glauben kannst du am Sonntag in der Kirche. In der IT zählen nur Fakten.
Gut ändere ich die Aussagen, ich weiß es nicht, aber es seht nur "*.domain.org" drin und das Zertifikat ist auch nur daraus ausgestelltWenn du den FQDN nextcloud2.domain.org direkt auf die IP-Adresse des Ubuntu Servers VM änderst, funktioniert die Nextcloud wie sie soll? Unabhängig davon spiele dort ebenfalls das korrekte Zertifikat ein. Sicherheit beginnt auch bei einer gültigen, validen Zertifikatskette.
Ja, dann geht es, bis auf eben das Zertifikatsproblem.Was sucht ein Services wie Nextcloud im LAN? Sowas gehört abgeschirmt in die DMZ. Schlimm genug, dass der Exchange Server bzw. IIS wohl direkt aus dem Internet erreichbar ist.
Durchaus richtig ! Aber hier aktuell nicht der Fall und auch wegen Unwissenheit aktuell noch nicht umsetzbar. Dafür gibt es anderen Sicherheitsvorkehrungen.Ist aber ein Thema das umgesetzt werden muss ist mir durchaus bewusst.
Danke
Moin,
Gruß,
Dani
Hier wird es spannend weil in der docker-composer-yaml ist keine Tag angegeben
sicher? Parallel dazu kannst du mit dem Befehl docker compose images ls naschauen, welcher Tag aktuell verwendet wird.z.b. Nextcloud need to be rebuild, follow these 5 Steps welche allerdings für mich nicht ganz klar sind.
Lesen, Lesen, Lesen: https://github.com/nextcloud/docker?tab=readme-ov-file#update-to-a-newer ...Sowohl bei der apache2 config als auch bei der trusted domains der nextcloud-config ist nextcloud2.domain.org eingetragen. War die Frage darauf bezogen ?
Ja.Ja, dann geht es, bis auf eben das Zertifikatsproblem.
Dann ist auf dem Webserver der VM, auf dem NC bereitgestellt wird, das falsche Zertifikat eingebunden.Dafür gibt es anderen Sicherheitsvorkehrungen.
Wie oft ich den Satz schon gehört habe... ich zähl schon gar nicht mehr mit. Gruß,
Dani